Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере.
Программа, предназначенная для рассылки спама на email-адреса, найденные на зараженном компьютере. Представляет собой Windows PE EXE-файл. Написана на языке Delphi и имеет размер 82432 байта. Упакована UPX. Размер распакованного файла — 232448 байт.
Инсталляция
SpamTool.Win32.Delf.h может попасть на компьютеры пользователей в виде вложения в зараженные электронные письма.
Зараженные письма имеют следующие характеристики:
Отправитель: CNN Newsletter Тема письма: TERROR HITS LONDON Имя файла-вложения: LondonTerrorMovie.zip
Данный архив содержит следующий файл:
London Terror Moovie.avi <много пробелов> Checked By Norton Antivirus.exe
После запуска вредоносная программа копирует себя в корневой каталог Windows с одним из следующих имен:
* %Windir%\ctflog.exe * %Windir%\explore.exe * %Windir%\inetinfomon.exe * %Windir%\MPM.exe * %Windir%\service.exe * %Windir%\winlogon.exe
Для более сложного обнаружения созданный файл имеет следующие атрибуты: скрытый, системный, только чтение (Hidden, System, ReadOnly).
Затем SpamTool.Win32.Delf.h регистрирует себя в ключе автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "<имя созданного файла без расширения> manager" = "%Windir%\<имя файла>"
При каждой следующей загрузке Windows автоматически запустит вредоносный файл.
Действие
Данная программа может быть использована для рассылки спам сообщений на адреса электронной почты найденные на зараженном компьютере, а также на адреса электронной почты, которые произвольно комбинируются самой вредоносной программой из следующих составных частей:
Имя: * about * abrupt * acetic * actinolite * Alana * Alexandria * Alvarado * anarch * apocryphal * blacksmith * blown * bolometer * Caldwell * Carlos * Carson * codfish * crystallite * Cummings * Curtis * dairymen * David * deducible * Dee * detour * diffusible * diurnal * Edward * Ellis * Fernandez * french * frostbite * Hillary * Hudson * hydrochemistry * Ivan * Jimenez * Kenneth * loretta * Luisa * mail-hub * mail-relay * Malinda * Mark * Martinez * Mccoy * Mckinney * mentor * Oliver * reactionary * relay * relay1 * relay2 * Ronald * Scott * Sharp * slovakia * Thomas * Torres * Victor * Wagner * Walton * Williams * wooden * zeus Домен: * @aol.com * @hotmail.com * @msn.com * @yahoo.com
Также вредоносная программа имеет функцию загрузки других файлов из интернета и запуска их на зараженном компьютере.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!